Effektive Information nach digitalem Identitätsdiebstahl

Ein BMBF-Forschungsprojekt zum Thema Schutz vor Identitätsdatendiebstahl - von 2017 bis 2020

Motivation

Digitale Identitätsdaten, Konto- oder Kreditkarteninformationen sowie E-Mail-Adressen und Passwörter werden in großen Mengen von (Cyber-) Kriminellen gesammelt. In den meisten Fällen bemerken betroffene Personen nicht einmal, dass sie Opfer einer Straftat geworden sind. Je nach krimineller Aktivität erfahren sie erst sehr viel später davon, dass sich die Täter unter Verwendung ihrer persönlichen Daten bereichert haben. Strafverfolgungsbehörden und IT-Sicherheitsforscher finden bei der Aufklärung von IT-Sicherheitsvorfällen und der Analyse von Schadsoftware häufig umfangreiche Sammlungen von Identitätsdaten, die Kriminelle angelegt haben. Bisher gibt es keine erprobte oder standardisierte Methode mit der Opfer zuverlässig und proaktiv über den Missbrauch ihrer Daten informiert werden können. Reaktive Systeme, wie z. B. der BSI-Sicherheitstest wurden zwar gut angenommen, setzen aber das Interesse und die Aktivität eines jeden Einzelnen voraus.

Zur Projektseite beim BMBF

Ziele und Vorgehen

Eine angemessene, proaktive Benachrichtigung und effektive Warnung betroffener Personen nach der Identifikation ist das Kernziel dieses Projekts. Das erfordert zunächst eine technische Komponente, um die illegal angelegten Identitätsdaten-Sammlungen auf Aktualität und Validität überprüfen zu können. Dies geschieht durch die Erforschung technischer Verfahren, die Sensordaten analysieren, fusionieren und korrelieren können. Im Anschluss müssen die Betroffenen informiert werden. Die Herausforderung besteht hier zum einen in einer verständlichen Warnung, die es dem Empfänger ermöglicht, die Art des Missbrauchs seiner Daten zu verstehen und notwendige Schritte einzuleiten. Gleichzeitig dürfen solche Warnungen nicht zu häufig vorkommen, damit die nötige Aufmerksamkeit erhalten bleibt. Ein dritter, wesentlicher Punkt ist die Rechtssicherheit solcher Warn- und Überprüfungssysteme. Die juristischen Partner im Projekt analysieren darum im Anschluss die Vereinbarkeit der Prozesse mit den rechtlichen Rahmenbedingungen und ihre Konformität mit den strengen Vorgaben des Datenschutzrechts der Bundesrepublik Deutschland.

Innovation und Perspektive

Es ist denkbar, dass die Warnung der Opfer digitaler Identitätsdiebstähle im Rahmen des öffentlichen Auftrags einer Behörde durchgeführt werden kann. Dafür ist aber auch zukünftig die Kooperation mit Identitätsdaten-Providern, wie Banken oder sozialen Netzwerken, notwendig. Nur so können die illegalen Datensammlungen zuverlässig bewertet werden und Betroffene über den Identitätsdiebstahl informiert werden – noch bevor ein Schaden entstanden ist. Allein in der deutschen Wirtschaft verursacht Computerkriminalität jährlich Schäden von mehr als 10 Milliarden Euro. Eine Absicherung der IT-Systeme gegen Cyberangriffe und Cyberspionage ist daher für die Wirtschaft und Gesellschaft entscheidend, um die Fortschritte und Chancen der Digitalisierung nutzen zu können. In den geförderten Vorhaben werden Verfahren erforscht, die auf der einen Seite mit innovativen forensischen Aufklärungsmethoden Angriffsszenarien untersuchen und verstehen. Auf der anderen Seite werden mit diesen Erkenntnissen neue Möglichkeiten geschaffen, wie solche Angriffe schon im Vorfeld und in Echtzeit erkannt und verhindert werden können.

Die Forschung kommt bereits heutzutage Unternehmen und Privatpersonen zugute. Denn die Unternehmensausgründung Identeco überführt die gewonnen Erkenntnisse in ein marktreifes Produktkonzept und entwickelt die Prozesse kontinuierlich weiter. Die geschaffenen Werkzeuge ermöglichen die einfache Integration von Identitätsdaten-Überprüfung in bestehenden IT-Prozesse der Betreiber von Online-Diensten.

Website von Identeco

Unsere Veröffentlichungen

2021

Feb

Bedrohung durch Identitätsdatendiebstahl - Datenerhebung, Analyse und Mitigation

Timo Malderle

Veröffentlichung Dissertation, Bonn, Deutschland, 17. Februar 2021, 2021 .

2021

Feb

Identitätsdiebe in die Schranken weisen - Account Security erhöhen mit Identity-Guard

Timo Malderle , Matthias Wübbeling, Pascua Theus, Michael Meier

17. Deutsche IT-Sicherheitskongress des BSI, Bonn, Deutschland, 02. Februar 2021, 2021 .

2020

Nov.

Privacy- Preserving Warning Management for an Identity Leakage Warning Network

Saffija Kasem-Madani, Timo Malderle, Felix Boes, Michael Meier

EICC'20 - European Interdisciplinary Cybersecurity Conference, Rennes, Frankreich, 18. November, 2020 .

2020

Aug.

Wer kennt mein Passwort? - Ein Frühwarndienst für Identitätsdatendiebstahl an Hochschulen

Timo Malderle, Michael Meier, Matthias Wübbeling

DFN Mitteilungen - Ausgabe 97, Berlin, Deutschland, 2020 .

2020

Dez.

Credential Intelligence Agency - A Threat Intelligence Approach to Mitigate Identity Theft

Timo Malderle, Felix Boes, Gina Muuss, Matthias Wuebbeling and Michael Meier

ICISSP 2020 - Selected Papers, Valetta, Malta, 2020 [In Submission].

2020

Feb.

Track Down Identity Leaks Using Threat Intelligence

Timo Malderle, Sven Knauer, Martin Lang, Matthias Wübbeling und Michael Meier

ICISSP 2020, Valetta, Malta, 25. bis 27. Februar, 2020 .

2020

Feb.

Effektive Warnung bei Identitätsdatendiebstahl an Hochschulen

Timo Malderle, Matthias Wübbeling und Michael Meier

DFN-Konferenz „Sicherheit in vernetzten Systemen“, Hamburg, Deutschland, 24. bis 25. Februar, 2020 .

2019

Jun.

#dataleak – Wie man Betroffene informiert

Susan Gonscherowski, Matthias Wübbeling

Telemedicus Sommerkonferenz 2019, Berling, Deutschland, 28. bis 29. Juni, 2019 .

2018

Dez.

Warning of Affected Users About an Identity Leak

Timo Malderle, Matthias Wübbeling, Sven Knauer and Michael Meier

IAS'18 - Information Assurance and Security, Porto, Portugal, 13. bis 15. Dezember, 2018 .

2018

Jun.

Datenkrake Leak-Checker - Lösung in Sicht?

Susan Gonscherowski, Oliver Vettermann, Matthias Wübbeling, Timo Malderle

digma: Zeitschrift für Datenrecht und Informationssicherheit, Zürich, Switzerland, 2018 .

2018

Jun.

Use-After-FreeMail: Generalizing the Use-After-Free Problem and Applying it to Email Services

Daniel Gruss, Michael Schwarz, Matthias Wübbeling, Simon Guggi, Timo Malderle, Stefan More, Moritz Lipp

AsiaCCS 2018, Songdo, Incheon, Korea, 4. bis 8. Juni, 2018 .

2018

Mai

Gathering and Analyzing Identity Leaks for a proactive Warning of affected Users

Timo Malderle, Matthias Wübbeling, Sven Knauer, Arnold Sykosch, Michael Meier

Computing Frontiers'18, Ischia, Italien, 8. bis 10. Mai, 2018 .

2018

Apr.

Ein Werkzeug zur automatisierten Analyse von Identitätsdaten-Leaks

Timo Malderle, Matthias Wübbeling, Sven Knauer, Michael Meier

GI-Sicherheit 2018, Konstanz, Deutschland, 25. bis 27. April, 2018 .

2018

Mär.

Sammlung geleakter Identitätsdaten zur Vorbereitung proaktiver Opfer-Warnung

Timo Malderle, Matthias Wübbeling, Michael Meier

MKWI 2018, Lüneburg, Deutschland, 6. bis 9. März, 2018 .

Die Projektpartner

Leibnitz-Institut für Informationsinfrastruktur GmbH, Karlsruhe

Website

NEW WORK SE, Hamburg

Website

Rheinische Friedrich-Wilhelms-Universität Bonn: Institut für Informatik – AG IT-Sicherheit

Website

Universität Duisburg-Essen – Fachgebiet Allgemeine Psychologie: Kognition, Duisburg

Website

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kiel

Website

Kontakt

Haben Sie Interesse an weiteren Information zu unserem Forschungsprojekt? Dann freuen wir uns, wenn Sie uns kontaktieren. Senden Sie uns dazu am Besten eine E-Mail.

Ansprechpartner: Matthias Wübbeling
Telefon: 0228 73-54250
E-Mail: matthias.wuebbeling@cs.uni-bonn.de

Adresse:
Institut für Informatik 4
Endenicher Allee 19A
53115 Bonn

Schreiben Sie uns

Gefördert von: